windows驱动文件流上下文区别和选用二

最新推荐文章于 2024-07-08 16:37:01 发布
最新推荐文章于 2024-07-08 16:37:01 发布
阅读量4.8k 收藏
点赞数 2
分类专栏: windows内核 加密与解密 文章标签: 安全 安全架构 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/find_the_ferry/article/details/121360812
版权

windows驱动文件流上下文区别和选用二

概述

  在第一篇文章(如何创建上下文一)中,以流上下文(FLT_STREAM_CONTEXT)这种类型举例说明了创建流上下文的步骤和需要使用的API函数,但是在windows上下文类型中,与流上下文相似的还有流句柄上下文(FLT_STREAMHANDLE_CONTEXT)、文件上下文(FLT_FILE_CONTEXT),其他上下文和这三种类型的上下文有比较明确的区别,所以本文将通过在一个示例中同时创建以上三种上下文类型,并通过不同进程来操作同一个文件时的效果来理解一下上下文的使用过程和生命周期。
  下文提到的上下文,没有特指某种上下文的情况下都是指这三种类型的上下文,暂不关注其他类型上下文的使用,其他上下文的使用会在其他篇幅中做说明。

验证思路

  相信和会有和我一样的同学会在初次接触上下文的时候,不知道在实际场景中需要使用哪种上下文,也许参阅了其他人的代码,发现开源的代码中大部分应用场景都使用的流上下文类型;甚至,可能也不太清楚,自己是否需要使用上下文,以及使用上下文能够给自己的程序带来哪些好处。不管最终想要通过上下文实现的功能如何,比如不管你是否想要通过判断上下文知道文件是否是特定类型的还是加密的,在用到上下文的时候多是要解决不想反复判断,想为某个或某类特定文件的文件信息获取一次之后在特定应用场景下就不需要再次获取,从而提升驱动程序效率的办法。
  鉴于此,上下文主要解决了在程序生命周期中部分关键信息不想多次获取或需要在多个操作中传递信息的问题,前者可以通过多次获取关键信息而不用上下文就可以解决问题,后者有时候不得不使用上下文来传递信息,前者使用上下文的情况,主要应对关键信息获取比较繁琐,使用上下文来减少在不同操作中相同逻辑处理的次数。
  了解了上下文的一些基础场景后,接下来就是看选用哪种类型的上下文了,最终目标就是创建了上下文能不能在下次操作文件的时候操作上下文,获取上下文的信息,上下文的信息何时销毁。本文的验证逻辑比较简单,在IRP_MJ_CREATE中先获取上下文如果不存在则创建上下文,如果存在则查看上下文中的信息,并将信息打印出来,在上下文清理函数中同样也打印相关信息,观察上下文清理时机。

源码分析

获取或创建上下文接口

  为避免文章代码过多,这里示例为流上下文获取或创建接口;流句柄上下文或文件上下文在示例中使用相同的上下文结构PFILE_CONTEXT_STRUC,针对这个函数另外两种上下文只需要修改获取上下文函数接口和申请上下文函数的接口类型以及对应的设置上下文函数即可。
PFILE_CONTEXT_STRUC 结构如下定义:

// 文件流上下文结构体
typedef struct _PFILE_CONTEXT_STRUCT
{
	ULONG ulReferenceTimes;                 // 引用计数
	UNICODE_STRING usName;                  // 文件名称
} FILE_CONTEXT_STRUCT, *PFILE_CONTEXT_STRUCT;

NTSTATUS
FctCreateFileStreamContext(
	__in PFLT_INSTANCE pfiInstance,
	__in PFILE_OBJECT pfoFileObject,
	__in PFLT_CALLBACK_DATA pfcdCBD,
	__in PFLT_FILE_NAME_INFORMATION pfniFileNameInformation,
	__inout PFILE_CONTEXT_STRUCT * dpscFileStreamContext
)
{
	UNREFERENCED_PARAMETER(pfcdCBD);
	UNREFERENCED_PARAMETER(pfniFileNameInformation);
	// 返回值
	NTSTATUS status;

	// 申请到的流上下文
	PFILE_CONTEXT_STRUCT pscFileStreamContext = NULL;

	// 保存旧的上下文
	PFILE_CONTEXT_STRUCT pscOldStreamContext = NULL;

	// 先把返回值置NULL
	*dpscFileStreamContext = NULL;

	// 必须 IRQL <= APC Level
	PAGED_CODE();

	// 先尝试获取流上下文
	status = FltGetStreamContext(
		pfiInstance,
		pfoFileObject,
		(PFLT_CONTEXT *)pscFileStreamContext );
	if (!NT_SUCCESS(status)) {
		return status;
	}
	if (NT_SUCCESS(status) && (status != STATUS_NOT_FOUND)) {  // 已经有了, 此处增加了引用计数.
		pscFileStreamContext->ulReferenceTimes++;
		*dpscFileStreamContext = pscFileStreamContext;
		return STATUS_FLT_CONTEXT_ALREADY_DEFINED;
	}

	// 申请上下文
	status = FltAllocateContext(gFilterHandle,
		FLT_STREAM_CONTEXT,
		FILE_CONTEXT_SIZE,
		NonPagedPool,
		(PFLT_CONTEXT *)&pscFileStreamContext);
	if (!NT_SUCCESS(status)) {
		return status;
	}

	// 初始化上下文
	RtlZeroMemory(pscFileStreamContext, FILE_CONTEXT_SIZE);
	
	// 设置上下文
	status = FltSetStreamContext(
		pfiInstance,
		pfoFileObject,
		FLT_SET_CONTEXT_KEEP_IF_EXISTS,
		pscFileStreamContext,
		(PFLT_CONTEXT *)&pscOldStreamContext);
	if (status != STATUS_FLT_CONTEXT_ALREADY_DEFINED
		&& status != STATUS_FLT_CONTEXT_ALREADY_LINKED) {
		if (!NT_SUCCESS(status)) {
			FltReleaseContext(pscFileStreamContext);
			return status;
		}
	}

	if (pscOldStreamContext != NULL) {
		FltReleaseContext(pscOldStreamContext);
	}

	// 保存返回值
	pscFileStreamContext->ulReferenceTimes = 1;
	*dpscFileStreamContext = pscFileStreamContext;

	return STATUS_SUCCESS;
}

在PostCreate中调用接口测试上下文

在PostCreate中分别获取或创建三种上下文类型,这里简单粗暴直接三个都来执行一遍

FLT_POSTOP_CALLBACK_STATUS
MyPostCreate(
	__inout PFLT_CALLBACK_DATA pfcdCBD,
	__in PCFLT_RELATED_OBJECTS pFltObjects,
	__in_opt PVOID lpCompletionContext,
	__in FLT_POST_OPERATION_FLAGS Flags
)
{
	PAGED_CODE();
	UNREFERENCED_PARAMETER(Flags);
	UNREFERENCED_PARAMETER(lpCompletionContext);
	PFILE_OBJECT pfoFileObject = pFltObjects->FileObject;
	PFLT_INSTANCE pfiInstance = pFltObjects->Instance;
	// 获取到的文件对象
	PFILE_CONTEXT_STRUCT pscFileStreamContext = NULL;
	PFILE_CONTEXT_STRUCT pscFileStreamHandleContext = NULL;
	PFILE_CONTEXT_STRUCT pscFileContext = NULL;
	// 返回值
	NTSTATUS status;
	// 文件名称信息
	PFLT_FILE_NAME_INFORMATION pfniFileNameInfo = 0;
	do {
		if (!NT_SUCCESS(pfcdCBD->IoStatus.Status)) {
			// 如果打开失败了, 那就不管了
			MYDBG("File failed to open, pass");
			break;
		}
		// 获取文件名称信息
		status = FltGetFileNameInformation(pfcdCBD,
			FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT,
			&pfniFileNameInfo
		);
		if (!NT_SUCCESS(status)) {  // 没拿到文件信息, 也不用管了
			MYDBG("Cannot get file information, pass");
			pfniFileNameInfo = NULL;
			break;
		}
		// 如果文件名长度为0也不用管了
		if (!pfniFileNameInfo->Name.Length)
		{
			MYDBG("Zero name length, pass");
			break;
		}
		// 过滤一下我不关注的文件
		if (InExcludeFile(&pfniFileNameInfo->Name))
		{
			break;
		}
		do { // 创建或检查文件流上下文, 如果已经存在, 引用计数将自动加 1.
			status = FctCreateFileStreamContext(
				pfiInstance,
				pfoFileObject,
				pfcdCBD,
				pfniFileNameInfo,
				&pscFileStreamContext);
			if (status != STATUS_FLT_CONTEXT_ALREADY_DEFINED) {
				MYDBG("StreamContext: 0x%x Post create file %ws, No Stream context info", pfcdCBD->Iopb->Parameters.Create.Options, pfniFileNameInfo->Name.Buffer);
				if (status == STATUS_NOT_SUPPORTED) {
					MYDBG("StreamContext: Error: File does not supported. %ws.",  pfniFileNameInfo->Name.Buffer);
					pscFileStreamContext = NULL;
					break;
				}
				// 如果没有上下文, 那么新初始化上下文.初始化上下文的函数下文提供
				status = FctInitializeContext(
					pscFileStreamContext,
					pfcdCBD,
					pfniFileNameInfo);
				if (!NT_SUCCESS(status)) {
					MYDBG("StreamContext: Error: Cannot initialize fct context. %ws.", pfniFileNameInfo->Name.Buffer);
					break;
				}
				MYDBG("StreamContext: Post create file %ws, create context info success", pfniFileNameInfo->Name.Buffer);
					break;
				}
			}
			else  // 已有上下文的情况,直接检查上下文就可以了
			{
				MYDBG("StreamContext: Post create file %ws, has context info", pfniFileNameInfo->Name.Buffer);
			}
		} while (0);
		do { // 创建或检查流句柄上下文, 如果已经存在, 引用计数将自动加 1.
			status = FctCreateFileStreamHandleContext(
				pfiInstance,
				pfoFileObject,
				pfcdCBD,
				pfniFileNameInfo,
				&pscFileStreamHandleContext);
			if (status != STATUS_FLT_CONTEXT_ALREADY_DEFINED) {
				MYDBG("StreamHanleContext: 0x%x Post create file %ws, No context info", pfcdCBD->Iopb->Parameters.Create.Options, pfniFileNameInfo->Name.Buffer);

				if (status == STATUS_NOT_SUPPORTED) {
					MYDBG("StreamHanleContext: Error: File does not supported. %ws.", pfniFileNameInfo->Name.Buffer);
					pscFileStreamHandleContext = NULL;
					break;
				}
				MYDBG("StreamHanleContext: Post create file %ws, create context info success", pfniFileNameInfo->Name.Buffer);
				// 如果没有上下文, 那么新初始化上下文.
				status = FctInitializeCustFileStreamHandleContext(
					pscFileStreamHandleContext,
					pfcdCBD,
					pfniFileNameInfo);
				if (!NT_SUCCESS(status)) {
					MYDBG("StreamHanleContext: Error: Cannot initialize fct context. %ws.", pfniFileNameInfo->Name.Buffer);
					break;
				}
			}
			else  // 已有上下文的情况,直接检查上下文就可以了
			{
				MYDBG("StreamHanleContext: Post create file %ws, has context info", pfniFileNameInfo->Name.Buffer);
			}
		} while (0);
		do { // 创建或检查文件上下文, 如果已经存在, 引用计数将自动加 1.
			status = FctCreateFileContext(
				pfiInstance,
				pfoFileObject,
				pfcdCBD,
				pfniFileNameInfo,
				&pscFileContext);
			if (status != STATUS_FLT_CONTEXT_ALREADY_DEFINED) {
				MYDBG("FileContext: 0x%x Post create file %ws, No context info", pfcdCBD->Iopb->Parameters.Create.Options, pfniFileNameInfo->Name.Buffer);
				if (status == STATUS_INSUFFICIENT_RESOURCES) {
					MYDBG("FileContext: Error: pscFileStreamContext->prResource %ws, STATUS_INSUFFICIENT_RESOURCES.", pfniFileNameInfo->Name.Buffer);
					pscFileContext = NULL;
					break;
				}

				if (status == STATUS_NOT_SUPPORTED) {
					MYDBG("FileContext: Error: File does not supported. %ws.", pfniFileNameInfo->Name.Buffer);
					pscFileContext = NULL;
					break;
				}
				MYDBG("FileContext: Post create file %ws, create context info success", pfniFileNameInfo->Name.Buffer);
				// 如果没有上下文, 那么新初始化上下文.因为上下文结构体共用一套,初始化和上下文类型没关系,可以通用
				status = FctInitializeContext(
					pscFileContext,
					pfcdCBD,
					pfniFileNameInfo);
				if (!NT_SUCCESS(status)) {
					MYDBG("FileContext: Error: Cannot initialize fct context. %ws.", pfniFileNameInfo->Name.Buffer);
					break;
				}
			}
			else  // 已有上下文的情况,直接检查上下文就可以了
			{
				MYDBG("FileContext: Post create file %ws, has context info", pfniFileNameInfo->Name.Buffer);
			}
		} while (0);
	} while (0);

	// 善后工作
	if (NULL != pscFileStreamContext) {
		FctReleaseCustFileStreamContext(pscFileStreamContext);
	}

	if (NULL != pscFileStreamHandleContext) {
		FctReleaseCustFileStreamContext(pscFileStreamHandleContext);
	}

	if (NULL != pscFileContext) {
		FctReleaseCustFileStreamContext(pscFileContext);
	}

	if (pfniFileNameInfo) {
		FltReleaseFileNameInformation(pfniFileNameInfo);
	}
	return FLT_POSTOP_FINISHED_PROCESSING;
}

在没有上下文的情况下,新创建的上下文需要进行初始化, 初始化需要将文件名称写进去,下面简单示例该函数的实现

NTSTATUS
FctInitializeContext(
	__inout PFILE_CONTEXT_STRUCT pscFileStreamContext,
	__in PFLT_CALLBACK_DATA pfcdCBD,
	__in PFLT_FILE_NAME_INFORMATION pfniFileNameInformation
)
{
	// 返回值
	NTSTATUS status;

	// 更新文件流上下文中的文件名称
	// 如果已经有名字了, 先释放掉.
	if (pscFileStreamContext->usName.Buffer != NULL) {
		ExFreePoolWithTag(pscFileStreamContext->usName.Buffer, MEM_TAG_CONTEXT);
		pscFileStreamContext->usName.Length = 0;
		pscFileStreamContext->usName.MaximumLength = 0;
		pscFileStreamContext->usName.Buffer = NULL;
	}
	// 申请并拷贝新名称
	pscFileStreamContext->usName.MaximumLength = pusName->Length;
	pscFileStreamContext->usName.Buffer = (PWCH)ExAllocatePoolWithTag(
		NonPagedPool,
		pscFileStreamContext->usName.MaximumLength,
		MEM_TAG_CONTEXT);

	if (pscFileStreamContext->usName.Buffer == NULL) {
		return STATUS_INSUFFICIENT_RESOURCES;
	}

	RtlCopyUnicodeString(&pscFileStreamContext->usName, pusName);
	pscFileStreamContext->ulReferenceTimes = 1;  // 引用计数设置为1
	return STATUS_SUCCESS;
}

修改销毁上下文函数的调用逻辑

在销毁函数中,对上下文结构中申请的内存进行释放,并打印信息,标明是那个释放函数被调用了

VOID
CleanupContext(
	__in PFLT_CONTEXT pcContext,
	__in FLT_CONTEXT_TYPE pctContextType
)
{
	PFILE_CONTEXT_STRUCT  pscFileStreamContext = NULL;

	PAGED_CODE();

	switch (pctContextType) {
	case FLT_STREAM_CONTEXT:
	{
		pscFileStreamContext = (PFILE_CONTEXT_STRUCT)pcContext;
		MYDBG("FLT_STREAM_CONTEXT CleanupContext IN %ws", pscFileStreamContext->usName.Buffer);
		// 释放上下文,这里需要自己实现一下将申请到的内存释放掉即可
		FctFreeMyContext(pscFileStreamContext);
	}
	break;
	case FLT_STREAMHANDLE_CONTEXT:
	{
		pscFileStreamContext = (PFILE_CONTEXT_STRUCT)pcContext;
		MYDBG("FLT_STREAMHANDLE_CONTEXT CleanupContext IN %ws", pscFileStreamContext->usName.Buffer);
		// 释放上下文,这里需要自己实现一下将申请到的内存释放掉即可
		FctFreeMyContext(pscFileStreamContext);
	}
	break;
	case FLT_FILE_CONTEXT:
	{
		pscFileStreamContext = (PFILE_CONTEXT_STRUCT)pcContext;
		MYDBG("FLT_FILE_CONTEXT CleanupContext IN %ws", pscFileStreamContext->usName.Buffer);
		// 释放上下文,这里需要自己实现一下将申请到的内存释放掉即可
		FctFreeMyContext(pscFileStreamContext);
	}
	break;
	}
}

实验结果

步骤一:使用记事本打开文件1212.txt

PostCreate.448:StreamContext: 0x1000060 Post create file \Device\HarddiskVolume4\测试\驱动\1212.txt, No Stream context info
PostCreate.469:StreamContext: Post create file \Device\HarddiskVolume4\测试\驱动\1212.txt, create context info success
PostCreate.490:StreamHanleContext: 0x1000060 Post create file \Device\HarddiskVolume4\测试\驱动\1212.txt, No context info
PostCreate.502:StreamHanleContext: Post create file \Device\HarddiskVolume4\测试\驱动\1212.txt, create context info success
PostCreate.532:FileContext: 0x1000060 Post create file \Device\HarddiskVolume4\测试\驱动\1212.txt, No context info
PostCreate.544:FileContext: Post create file \Device\HarddiskVolume4\测试\驱动\1212.txt, create context info success
CleanupContext.266:FLT_STREAMHANDLE_CONTEXT CleanupContext IN \Device\HarddiskVolume4\测试\驱动\1212.txt

可以看到此时都没有上下文信息,且都成功的创建了上下文信息,并且流句柄套接字(FLT_STREAMHANDLE_CONTEXT) 立马也被清理了,下面是用procmon看到的操作情况,看以看到用记事本将文件打开之后,获取到文件内容后,很快执行了CloseFile调用,这里也是流句柄上下文很快被释放的原因。
在这里插入图片描述

步骤二:关闭文件再次使用记事本打开1212.txt

PostCreate.473:StreamContext: Post create file \Device\HarddiskVolume4\测试\驱动\1212.txt, has context info
PostCreate.490:StreamHanleContext: 0x1000060 Post create file \Device\HarddiskVolume4\测试\驱动\1212.txt, No context info
PostCreate.502:StreamHanleContext: Post create file \Device\HarddiskVolume4\测试\驱动\1212.txt, create context info success
PostCreate.557:FileContext: Post create file \Device\HarddiskVolume4\测试\驱动\1212.txt, has context info
CleanupContext.266:FLT_STREAMHANDLE_CONTEXT CleanupContext IN \Device\HarddiskVolume4\测试\驱动\1212.txt

根据日志结果可以发现,StreamContext FileContext两种上下文类型已创建了上下文,可以获取到上下文信息,只有StreamHanleContext没有上下文信息,且新建上下文成功

步骤三:卸载驱动

CleanupContext.258:FLT_STREAM_CONTEXT CleanupContext IN \Device\HarddiskVolume4\测试\驱动\1212.txt
CleanupContext.274:FLT_FILE_CONTEXT CleanupContext IN \Device\HarddiskVolume4\测试\驱动\1212.txt

可以看出在卸载驱动时,这两中类型的文件上下文也被清理了;删除文件也可以得到上面的两个日志

根据以上测试结果,可以发现在简单场景下,FLT_STREAM_CONTEXT FLT_FILE_CONTEXT 都可以跟随驱动或者文件的生命周期内存在,StreamHanleContext只有在文件的打开过程中有效,msdn上有信息表明FLT_FILE_CONTEXT在vista之后支持。如果要记录文件的一些特殊信息可以在FLT_STREAM_CONTEXT 上进行,当然也需要在关注的文件信息发生变动时更新上下文信息。

风里雨里守护着你
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Trace开发思路
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
12-20 177
1. Minifilter 架构 2.什么是Context filter管理器使minifilter驱动能把上下文与object关联起来,来跨I/O操作保持状态。有上下文的Object包括卷,实例,句柄. FLT_STREAM_CONTEXT 是描述一个fscontext的,对于打开的文件的所有的的操作权限一致 FLT_STREAMHANDLE_CONTEXT 是描述...
MiniFilter文件系统学习
热门推荐
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifi
文件过滤驱动用于windows驱动学习
10-19
文件过滤驱动,方便大家参考,内容比较完善,参考此驱动后,对以后写WINDOWS驱动有帮助。第一个驱动就是从这里开始的,源代码比较有参考意义
深入理解和使用Windows NT驱动程序的执行上下文(一)
人是会思考的一棵苇草
11-01 1903
深入理解和使用Windows NT驱动程序的执行上下文原作:Open System Resources,Inc.编译:codewarrior@fudan cse 要理解Windows NT驱动程序,最重要的概念之一就是驱动程序执行时的所处的“执行上下文”(Execution Context)。深入理解这个概念,并小心地应用你所掌握的关于它的知识,可以帮助你编写更快速高效的驱动程序。
Windows驱动_文件系统微小过滤驱动之四上下文空间
Z18_28_19的专栏
10-30 2453
今天看到了WSK,又有事情做了,一直是这样,肯定不行,我要想办法,当然,人千万不能漂起来,因为,自己不说很成熟,但是已经工作了这么多年。经过的事情,见过的人已经很多了。对于,自己,我觉得,应该有着相当的自信,因为,这么多年来,我一直在严格要求自己,从来没有放松过对自己的要求。现在的这个世界,已经,变成了一个爆发的世界,各种各样的人,都可以表演,只要敢做,就有机会,虽然难,但是比之前的环境要好很多。
文件系统minifilter新架构开发指南
look01的专栏
08-12 7628
微过滤器驱动开发指南   0.译者序 对我来说,中文永远是最美,最简洁,最精确和最高雅的文字。 本 文翻译仅仅用做交学习。我不打算保留任何版权或者承担任何责任。不要引用到赢利出版物中给您带来版权官司。本文的翻译者是楚狂人,如果有任何问题,你可 以通过邮箱MFC_Tan_Wen@163.com,或者是QQ16191935,或者是MSN walled_river@ho
Minifilter笔记
kernweak的博客
06-05 2943
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。 Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifilter驱动...
windows驱动文件上下文操作一
find_the_ferry的博客
11-12 847
windows驱动文件上下文操作一概述文件上下文句柄上下文区别注册上下文创建上下文特别注意获取上下文释放(Release)文件上下文 概述   文件上下文在微过滤器(Minifilter)程序中能够为文件相关的操作存储有用的信息,在微过滤器的每个文件处理阶段从指向驱动实例的之阵中获取对应文件文件上下文信息,为驱动中处理文件提供了巨大的便利也提升了驱动处理文件的效率,试想没有文件上下文,对同一个文件的属性判断要在每个IRP操作中重复判断,那是多么浪费性能。   上下文是系统为驱动实例和处
SwapBuffer驱动进阶(
jimk1983的专栏
10-25 1227
在前面的SwapBuffer驱动进阶(一)中我们添加了一个Create的回调,那么如何让后面的PreRead识别出相同的文件,采用的方法是添加文件上下文。 首先我们设计一个数据结构,也就是文件上下文,主要是需要保存什么文件信息: //文件上下文信息 typedef struct _FILE_STREAM_CONTEXT { UCHAR               ucIsE
文件系统Minifilter驱动(三)
听风
03-02 9835
5).管理文件名filter管理器消除了legacy过滤驱动重获和管理文件名所必需的许多工作。当一个名被请求时,filter管理器在引用计数结构中以适当的格式为当前操作提供名: 规范名, opened名或短名.  minifilter驱动可以调用FltGetDestinationFileNameInformation 来为正被rename或其NTFS hard link正被创建的文件
领域驱动—限界上下文
02-24
限界上下文:BoundedContext1)上下文(Context)表现业务程的场景片段2)整个业务程由诸多具有时序的活动组成,随着程的进行,不同的活动有不同的角色参与,并导致上下文切换3)上下文(Context)其实是动态的业务...
Python中的上下文管理器和with语句的使用
12-23
Python中的上下文管理器是2.5版本引入的一项重要特性,它主要用来规范对象的生命周期,确保在使用完毕后能够正确地释放资源。这在处理系统资源如文件、数据库连接等时尤其重要,因为这些资源的打开和关闭需要遵循...
chcon命令 修改文件安全上下文
01-09
chcon命令是修改对象(文件)的安全上下文,比如:用户、角色、类型、安全级别。也就是将每个文件安全环境变更至指定环境。 语法格式: chcon [参数] 常用参数: -h 影响符号连接而非引用的文件 -R 递归处理...
理解和使用NT驱动程序的执行上下文
avder的专栏
01-22 1201
refer:http://blog.csdn.net/ttlyfast/archive/2007/08/17/1748578.aspx不知道原出处到底在哪了。理解Windows NT驱动程序最重要的概念之一就是驱动程序运行时所处的“执行上下文”。理解并小心地应用这个概念可以帮助你构建更快、更高效的驱动程序。 NT标准内核模式驱动程序编程中的一个重要观念是某个特定的驱动程序函数执行时所处的“
Windows驱动程序运行上下文简要分析
gxfan的专栏
07-31 2431
Windows驱动程序运行上下文简要分析       Windows驱动程序在内核态执行,作为驱动开发人员,我们有必要对驱动程序的执行环境有所了解,这将有助于我们正确合理地使用系统资源,从而避免产生一些难以检测的bug。        总体来说,windows驱动程序运行的上下文环境有如下四类:1、  请求系统服务线程的上下文在这种情况下,驱动程序直接在请求系统服务的那个线程上
linux中如何查看文件上下文,linux通过grep根据关键字查找日志文件上下文
weixin_34791683的博客
04-29 5125
linux通过grep根据关键字查找日志文件上下文1、在标准unix/linux下的grep命令中,通过以下参数控制上下文的显示:grep -C 10 keyword catalina.out 显示file文件中匹配keyword字串那行以及上下10行grep -B 10 keyword catalina.out 显示keyword及前10行grep -A 10 keyword catalina....
面向Windows文件透明加解密解决方案(3)——透明加解密驱动程序
某熊的技术之路
05-31 1万+
3.3关键技术详解 对于用户的文件操作请求,Windows 用户层中对文件的各种操作映射到微过滤驱动中就转化为类型为Create,Read,Write 和Close 等的I/O 操作,因此只要对这些操作的内容进行过滤处理,即可达到透明加解密的目的。首先在IRP_MJ_CREATE 中查询目标文件是否是监控文件类型,创建一个StreamContext 并附着在文件对象上,并在StreamConte
警钟!电池储能安全事故频发!物联网技术如何加强储能安全排查?
最新发布
olzorange的博客
07-08 322
物联网技术的应用为储能安全排查提供了从源头预防到快速响应的全链条解决方案。
zstd上下文压缩和压缩区别
04-26
zstd上下文压缩和压缩都是zstd压缩算法的一部分,但是它们的应用场景略有不同。 在zstd上下文压缩中,压缩算法会利用之前的解压缩历史记录来更好地压缩当前的数据,从而获得更高的压缩比。这种压缩方式适用于具有较长的解压缩历史记录的文件,比如网页HTML文件等。 而在zstd压缩中,压缩算法会尽可能快地压缩中连续的数据,而不考虑之前的解压缩历史记录。这种压缩方式适用于数据(例如网络传输),因为它可以在接收到数据后立即对其进行压缩,而不需要等待历史记录到达。 总的来说,zstd上下文压缩和压缩都是zstd压缩算法的不同实现方式,取决于不同的应用场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

风里雨里守护着你

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值